Kaip įdiegti ir konfigūruoti pagrindinę „OpnSense“ užkardą


Ankstesniame straipsnyje buvo aptartas ugniasienės sprendimas, žinomas kaip PfSense. 2015 m. pradžioje buvo priimtas sprendimas atsisakyti PfSense ir buvo išleistas naujas ugniasienės sprendimas, pavadintas OpnSense.

OpnSense pradėjo veikti kaip paprasta PfSense šakutė, tačiau tapo visiškai nepriklausomu ugniasienės sprendimu. Šiame straipsnyje bus aptartas naujo OpnSense diegimo diegimas ir pagrindinė pradinė konfigūracija.

Kaip ir PfSense, OpnSense yra FreeBSD pagrįstas atvirojo kodo ugniasienės sprendimas. Distribuciją galima nemokamai įdiegti savo arba įmonės „Decisio“ įrangoje, prekiauja iš anksto sukonfigūruotais ugniasienės įrenginiais.

OpnSense keliami minimalūs reikalavimai, o įprastą senesnį namų bokštą galima lengvai nustatyti, kad jis veiktų kaip OpnSense ugniasienė. Siūlomos minimalios specifikacijos yra šios:

Aparatinės įrangos minimumai

  • 500Mhz CPU
  • 1 GB RAM
  • 4 GB atminties
  • 2 tinklo sąsajos plokštės

Siūloma aparatinė įranga

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB atminties
  • 2 ar daugiau PCI-e tinklo sąsajos kortelių.

Jei skaitytojas nori pasinaudoti kai kuriomis pažangesnėmis OpnSense funkcijomis (Suricata, ClamAV, VPN serveriu ir kt.), sistemai turėtų būti suteikta geresnė aparatinė įranga.

Kuo daugiau modulių naudotojas nori įgalinti, tuo daugiau RAM/procesoriaus/disko vietos turėtų būti įtraukta. Siūloma, kad būtų laikomasi šių minimumų, jei planuojama įjungti išplėstinius modulius „OpnSense“.

  • Šiuolaikinis kelių branduolių procesorius, veikiantis mažiausiai 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD vietos
  • 2 ar daugiau „Intel PCI-e“ tinklo sąsajos plokščių

„OpnSense Firewall“ diegimas ir konfigūravimas

Nepriklausomai nuo pasirinktos aparatinės įrangos, OpnSense diegimas yra paprastas procesas, tačiau vartotojas turi atidžiai stebėti, kurie tinklo sąsajos prievadai bus naudojami kokiam tikslui (LAN, WAN, belaidis ryšys ir kt.).

Dalis diegimo proceso apims raginimą vartotojui pradėti konfigūruoti LAN ir WAN sąsajas. Autorius siūlo tik prijungti WAN sąsają, kol nebus sukonfigūruotas „OpnSense“, o tada užbaigti diegimą prijungus LAN sąsają.

Atsisiunčiama „OpnSense Firewall“.

Pirmiausia reikia įsigyti „OpnSense“ programinę įrangą ir yra keletas skirtingų parinkčių, priklausomai nuo įrenginio ir diegimo metodo, tačiau šiame vadove bus naudojamas „OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2“.'.

ISO buvo gautas naudojant šią komandą:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Atsisiuntus failą, jį reikia išspausti naudojant bunzip įrankį, kaip nurodyta toliau:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Atsisiuntus ir išglaudinus diegimo programą, ją galima įrašyti į CD arba nukopijuoti į USB diską naudojant dd įrankį< įtraukta į daugumą Linux platinimų.

Kitas procesas yra įrašyti ISO į USB diską, kad būtų paleista diegimo programa. Norėdami tai padaryti, naudokite įrankį „dd“ sistemoje „Linux“.

Pirma, disko pavadinimas turi būti su „lsblk“.

lsblk

Kai USB disko pavadinimas nustatytas kaip '/dev/sdc', OpnSense ISO galima įrašyti į diską naudojant >'dd' įrankis.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Pastaba: aukščiau pateiktai komandai reikia root teisių, todėl naudokite „sudo“ arba prisijunkite kaip root naudotojas, kad paleistumėte komandą. Be to, ši komanda PAŠALINUS VISKĄUSB disko. Būtinai sukurkite atsargines reikiamų duomenų kopijas.

OpnSense ugniasienės įdiegimas

Kai dd baigs rašyti į USB diską, įdėkite laikmeną į kompiuterį, kuris bus nustatytas kaip opnsense ugniasienė. Paleiskite tą kompiuterį į tą laikmeną ir bus parodytas toks ekranas.

Norėdami pereiti prie diegimo programos, tiesiog paspauskite klavišą „Enter“. Tai įjungs OpnSense į tiesioginį režimą, tačiau yra specialus naudotojas, kuris vietinėje laikmenoje įdiegs OpnSense.

Kai sistema paleidžiama, naudokite prisijungimo raginimą, naudokite diegiklio naudotojo vardą ir „opnsense“ slaptažodį.

Diegimo laikmena prisijungs ir paleis tikrąją OpnSense diegimo programą. ĮSPĖJIMAS: tęsiant toliau nurodytus veiksmus, visi sistemos standžiajame diske esantys duomenys bus ištrinti! Tęskite atsargiai arba išeikite iš diegimo programos.

Paspaudus klavišą „Enter“ bus pradėtas diegimo procesas. Pirmiausia reikia pasirinkti klavišų schemą. Tikėtina, kad diegimo programa pagal numatytuosius nustatymus aptiks tinkamą klavišų schemą. Peržiūrėkite pasirinktą klavišų schemą ir, jei reikia, pataisykite.

Kitame ekrane bus pateiktos kai kurios diegimo parinktys. Jei vartotojas nori atlikti išplėstinį skaidymą arba importuoti konfigūraciją iš kitos „OpnSense“ dėžutės, tai galima padaryti šiuo žingsniu. Šiame vadove numatomas naujas diegimas ir bus pasirinkta parinktis Įdiegimas vadovaujantis.

Šiame ekrane bus rodomi atpažinti saugojimo įrenginiai, kuriuos reikia įdiegti.

Pasirinkęs saugojimo įrenginį, vartotojas turės nuspręsti, kurią skaidymo schemą naudoja diegimo programa (MBR arba GPT/EFI).

Dauguma šiuolaikinių sistemų palaikys GPT/EFI, bet jei naudotojas perkelia senesnio kompiuterio paskirtį, MBR gali būti vienintelė palaikoma parinktis. Sistemos BIOS nustatymuose patikrinkite, ar ji palaiko EFI/GPT.

Pasirinkus skaidymo schemą, montuotojas pradės diegimo veiksmus. Procesas neužtrunka ypač ilgai ir periodiškai pareikalaus vartotojo pateikti informaciją, pvz., pagrindinio vartotojo slaptažodį.

Kai vartotojas nustato pagrindinio vartotojo slaptažodį, diegimas bus baigtas ir sistemą reikės paleisti iš naujo, kad būtų galima sukonfigūruoti diegimą. Kai sistema paleidžiama iš naujo, ji turėtų automatiškai paleisti į OpnSense diegimą (įsitikinkite, kad pašalinote diegimo laikmeną, kai įrenginys paleidžiamas iš naujo).

Kai sistema paleidžiama iš naujo, ji sustos prie konsolės prisijungimo raginimo ir lauks, kol vartotojas prisijungs.

Dabar, jei vartotojas atkreipė dėmesį diegdamas, jis galėjo pastebėti, kad diegimo metu galėjo iš anksto sukonfigūruoti sąsajas. Tačiau tarkime, kad šiame straipsnyje sąsajos nebuvo priskirtos diegiant.

Prisijungus naudojant pagrindinį vartotoją ir įdiegus sukonfigūruotą slaptažodį, galima pastebėti, kad „OpnSense“ naudojo tik vieną iš šio įrenginio tinklo sąsajos kortelių (NIC). Žemiau esančiame paveikslėlyje jis pavadintas „LAN (em0)“.

Pagal numatytuosius nustatymus OpnSense LAN tinkle bus naudojamas standartinis 192.168.1.1/24 tinklas. Tačiau aukščiau esančiame paveikslėlyje trūksta WAN sąsajos! Tai nesunku ištaisyti raginimo vietoje įvedus 1 ir paspaudus Enter.

Tai leis iš naujo priskirti NIC sistemoje. Kitame paveikslėlyje atkreipkite dėmesį, kad yra dvi sąsajos: 'em0' ir 'em1'.

Konfigūracijos vedlys taip pat leis atlikti labai sudėtingas sąrankas naudojant VLAN, tačiau kol kas šiame vadove daroma prielaida, kad yra pagrindinė dviejų tinklų sąranka; (ty WAN/IPT ir LAN pusės).

Norėdami šiuo metu nekonfigūruoti jokių VLAN, įveskite „N“. Šios konkrečios sąrankos WAN sąsaja yra „em0“, o LAN sąsaja yra „em1“, kaip parodyta toliau.

Patvirtinkite sąsajų pakeitimus raginime įvesdami Y. Dėl to „OpnSense“ iš naujo įkels daugelį savo paslaugų, kad atspindėtų sąsajos priskyrimo pakeitimus.

Baigę prijunkite kompiuterį su žiniatinklio naršykle prie LAN šoninės sąsajos. LAN sąsajoje yra DHCP serveris, kuris klauso klientų sąsajos, todėl kompiuteris galės gauti reikiamą adresavimo informaciją, kad galėtų prisijungti prie „OpnSense“ žiniatinklio konfigūracijos puslapio.

Kai kompiuteris prijungtas prie LAN sąsajos, atidarykite žiniatinklio naršyklę ir eikite į šį URL: http://192.168.1.1.

Norėdami prisijungti prie žiniatinklio konsolės; naudokite naudotojo vardą „root“ ir slaptažodį, kuris buvo sukonfigūruotas diegimo proceso metu. Prisijungus bus baigta paskutinė diegimo dalis.

Pirmasis diegimo programos veiksmas naudojamas tiesiog surinkti daugiau informacijos, pvz., pagrindinio kompiuterio pavadinimą, domeno pavadinimą ir DNS serverius. Daugelis vartotojų gali palikti pasirinktą parinktį Nepaisyti DNS.

Tai leis OpnSense ugniasienei gauti DNS informaciją iš IPT per WAN sąsają.

Kitame ekrane bus raginama įvesti NTP serverius. Jei vartotojas neturi savo NTP sistemų, OpnSense pateiks numatytąjį NTP serverių rinkinį.

Kitas ekranas yra WAN sąsajos sąranka. Dauguma namų vartotojų interneto paslaugų teikėjų naudos DHCP, kad savo klientams pateiktų reikiamą tinklo konfigūracijos informaciją. Paprasčiausiai palikus pasirinktą tipą kaip „DHCP“, „OpnSense“ bus nurodyta bandyti surinkti savo WAN konfigūraciją iš IPT.

Norėdami tęsti, slinkite žemyn iki WAN konfigūracijos ekrano apačios. ***Pastaba*** šio ekrano apačioje yra dvi numatytosios taisyklės, skirtos blokuoti tinklo diapazonus, kurie paprastai neturėtų būti matomi patenkant į WAN sąsają. Rekomenduojama palikti juos pažymėtus, nebent yra žinoma priežastis leisti šiuos tinklus per WAN sąsają!

Kitas ekranas yra LAN konfigūracijos ekranas. Dauguma vartotojų gali tiesiog palikti numatytuosius nustatymus. Supraskite, kad čia turėtų būti naudojami specialūs tinklo diapazonai, paprastai vadinami RFC 1918. Būtinai palikite numatytąjį nustatymą arba pasirinkite tinklo diapazoną iš RFC1918 diapazono, kad išvengtumėte konfliktų/problemų!

Paskutiniame diegimo ekrane bus paklausta, ar vartotojas nori atnaujinti root slaptažodį. Tai neprivaloma, bet jei diegiant nebuvo sukurtas stiprus slaptažodis, dabar būtų tinkamas laikas išspręsti problemą!

Pasibaigus slaptažodžio keitimo parinkčiai, „OpnSense“ paprašys vartotojo iš naujo įkelti konfigūracijos nustatymus. Tiesiog spustelėkite mygtuką Įkelti iš naujo ir duokite „OpnSense“ sekundę, kad atnaujintų konfigūraciją ir esamą puslapį.

Kai viskas bus padaryta, „OpnSense“ pasveikins vartotoją. Norėdami grįžti į pagrindinę informacijos suvestinę, tiesiog spustelėkite Informacijos suvestinė viršutiniame kairiajame žiniatinklio naršyklės lango kampe.

Šiuo metu vartotojas bus nukreiptas į pagrindinį prietaisų skydelį ir galės toliau diegti/konfigūruoti bet kuriuos naudingus „OpnSense“ papildinius ar funkcijas! Autorius rekomenduoja patikrinti ir atnaujinti sistemą, jei yra atnaujinimų. Tiesiog pagrindinėje informacijos suvestinėje spustelėkite mygtuką Spustelėkite, kad patikrintumėte, ar yra naujinimų.

Tada kitame ekrane galima naudoti „Patikrinti, ar yra naujinimų“, kad peržiūrėtumėte naujinių sąrašą, arba „Atnaujinti dabar“ galima tiesiog pritaikyti visus galimus naujinimus.

Šiuo metu pagrindinis „OpnSense“ diegimas turėtų būti paleistas ir visiškai atnaujintas! Būsimuose straipsniuose bus aptariamas nuorodų sujungimas ir VLAN maršruto parinkimas, siekiant parodyti daugiau pažangių „OpnSense“ galimybių!